Depuis la version 3.2 de Joomla, il est possible de renforcer significativement la sécurité du panneau d'administration en ajoutant un second niveau d'identification. En effet, en plus de votre identifiant et de votre mot de passe, vous avez la possibilité d'y ajouter un mot de passe supplémentaire. Ce tutoriel vous explique comment sécuriser son site Joomla en 2 étapes.
Le principe de cette sécurisation est d'ajouter un champ supplémentaire au module de connexion au panneau d'administration. Bonne nouvelle, vous n'aurez pas besoin de mémoriser ce mot de passe supplémentaire. Celui-ci sera suffisamment renforcé et soit unique avec le plugin YubiKey ou valable seulement quelques secondes avec le plugin Google Authenticator.
Pour utiliser cette fonctionnalité, deux plugins natifs ont été ajoutés à Joomla :
- YubiKey
- Google Authenticator
Sécuriser son site Joomla avec Yubikey
Ce plugin vous permet d'utiliser l'authentification en deux étapes en utilisant une clé USB de sécurité YubiKey. Pour cela, vous devez préalablement vous procurer votre propre clé YubiKey. Pour utiliser l'authentification en deux étapes, vous devrez modifier votre profil utilisateur et activer le plugin.
#1 : Se procurer une clé Yubikey.
Commandez-la sur le site www.yubico.com pour €25. La livraison intervient généralement en une semaine.
#2 : Configurer votre YubiKey.
Une fois votre clé reçue, il est nécessaire de la configurer sur votre/vos ordinateur/s. Introduisez votre clé dans un port USB et suivez les étapes du processus d'installation.
#3 : Activation du plugin.
Pour cela, ouvrez le panneau d'administration de votre site Joomla 4 puis cliquez sur plugins dans la rubrique Site. Utilisez alors la barre de recherche pour localiser le plugin Double authentification - YubiKey.
Notez que vous pouvez choisir d'activer le plugin pour le frontend, pour le backend ou pour les deux.
#4 : Modifier votre profil utilisateur.
Pour cette étape, votre clé Yubikey doit être insérée dans un des ports USB de votre ordinateur. Ouvrez "Utilisateurs → Gestions des utilisateurs". Ouvrez ensuite votre profil. Un nouvel onglet est apparu : "Authentification en deux étapes". Ouvrez cet onglet.
Choisissez Yubikey comme méthode d'identification
Placez votre curseur dans le second champ Code de sécurité.
Pressez le bouton situé sur votre clé Yubikey.
Votre clé va alors générer un code unique. Cliquez sur Enregistrer & Fermer.
Suivant le paramétrage que vous avez retenu à l'étape 3 (activation pour le frontend, pour le backend ou pour les deux), un nouveau champ Clé secrète est affiché sur le module de connexion.
Saisissez votre identifiant et votre mot de passe, placez ensuite votre curseur dans le champ Clé secrète et pressez le bouton de la clé pour générer le code et lancer la connexion.
La documentation Google à ce sujet est très complète (en anglais) : Joomla yubikey authentication.
Sécuriser son site Joomla avec Google Authenticator
Ce plugin vous permet d'utiliser l'authentification en deux étapes avec le plugin Google Authenticator qui génère des mots de passe à usage unique basés sur l'heure. Pour l'utiliser, vous devrez modifier votre profil utilisateur et activer le plugin.
#1 : Publier le plugin.
Pour cela, ouvrez le panneau d'administration de votre site Joomla 4 puis cliquez sur plugins dans la rubrique Site. Utilisez alors la barre de recherche pour localiser le plugin Double authentification - Google Authenticator.
Notez que vous pouvez la possibilité d'activer le plugin pour le frontend, pour le backend ou pour les deux :
#2 : Installer l'application "Google Authenticator" sur votre smartphone ou tablette.
Vous retrouverez l'ensemble des liens et des informations relatives à cette procédure sur le Centre d'Aide Google dédié à cette application.
#3 : Paramétrer votre compte utilisateur.
Maintenant que l'application est installée, vous allez pouvoir paramétrer votre profil utilisateur. Ouvrez Utilisateurs puis cliquez sur Gestion. Ouvrez ensuite votre profil. Un nouvel onglet est apparu : Authentification en deux étapes. Ouvrez cet onglet.
Choisissez Google Authenticator comme méthode d'identification
Scannez le QR Code avec l'application téléchargée à l'étape précédente.
Saisissez le code obtenu dans le champ Code de sécurité.
Cliquez sur Enregistrer & Fermer.
Déconnectez-vous alors du panneau d'administration. Le nouveau module de connexion apparaît bien avec le champ supplémentaire Clé secrète. Entrez votre identifiant, votre mot de passe, puis dans le champ Clé secrète, indiquez le code que génère l'application téléchargé sur votre smartphone ou votre tablette. Ce code fournit par Google Authenticator n'est valide que pendant 30 secondes et n'est disponible que sur votre appareil mobile.
Depuis la version 3.2 de Joomla, il est désormais possible de renforcer significativement la sécurité du panneau d'administration en ajoutant un second niveau d'identification. En effet, en plus de votre identifiant et de votre mot de passe, vous avez la possibilité d'y ajouter un mot de passe supplémentaire. Ce tutoriel vous explique comment sécuriser son site Joomla en 2 étapes.
Le principe de cette sécurisation est d'ajouter un champ supplémentaire au module de connexion au panneau d'administration. Bonne nouvelle, vous n'aurez pas besoin de mémoriser ce mot de passe supplémentaire. Celui-ci sera suffisamment renforcé et soit unique avec le plugin YubiKey ou valable seulement quelques secondes avec le plugin Google Authenticator.
Pour utiliser cette fonctionnalité, deux plugins natifs ont été ajoutés à Joomla :
- YubiKey
- Google Authenticator
Sécuriser son site Joomla avec Yubikey
Ce plugin vous permet d'utiliser l'authentification en deux étapes en utilisant une clé USB de sécurité YubiKey. Pour cela, vous devez préalablement vous procurer votre propre clé YubiKey. Pour utiliser l'authentification en deux étapes, vous devrez modifier votre profil utilisateur et activer le plugin.
Etape 1 : Se procurer une clé Yubikey.
Commandez-la sur le site www.yubico.com pour €25. La livraison intervient généralement en une semaine.
Etape 2 : Configurer votre YubiKey. Une fois votre clé reçue, il est nécessaire de la configurer sur votre/vos ordinateur/s. Introduisez votre clé dans un port USB et suivez les quelques étapes du processus d'installation.
Etape 3 : Activation du plugin. Pour cela, ouvrez le panneau d'administration de votre site Joomla puis ouvrez "Extensions → Gestions des plugins". Cliquez sur "Authentification en deux étapes - Yubikey".
Notez que vous pouvez choisir d'activer le plugin pour le frontend, pour le backend ou pour les deux.
Etape 4 : Modifier votre profil utilisateur. Pour cette étape, votre clé Yubikey doit être insérée dans un des ports USB de votre ordinateur. Ouvrez "Utilisateurs → Gestions des utilisateurs". Ouvrez ensuite votre profil. Un nouvel onglet est apparu : "Authentification en deux étapes". Ouvrez cet onglet.
Choisissez "Yubikey" comme méthode d'identification
Placez votre curseur dans le second champ "Code de sécurité".
Pressez le bouton situé sur votre clé Yubikey.
Votre clé va alors générer un code unique. Cliquez sur Enregistrer & Fermer.
Suivant le paramétrage que vous avez retenu à l'étape 3 (activation pour le frontend, pour le backend ou pour les deux), un nouveau champ "Clé secrète" est affiché sur le module de connexion.
Saisissez votre identifiant et votre mot de passe, placez ensuite votre curseur dans le champ "Clé secrète" et pressez le bouton de la clé pour générer le code et lancer la connexion.
La documentation Google à ce sujet est très complète (en anglais) : Joomla yubikey authentication.
Sécuriser son site Joomla avec Google Authenticator
Ce plugin vous permet d'utiliser l'authentification en deux étapes avec le plugin Google Authenticator qui génère des mots de passe à usage unique basés sur l'heure. Pour l'utiliser, vous devrez modifier votre profil utilisateur et activer le plugin.
Etape 1 : Publier le plugin. Pour cela, ouvrez le panneau d'administration de votre site Joomla puis ouvrez "Extensions → Gestions des plugins". Cliquez sur "Authentification en deux étapes - Google Authenticator" et activez le plugin.
Notez que vous pouvez la possibilité d'activer le plugin pour le frontend, pour le backend ou pour les deux.
Etape 2 : Installer l'application "Google Authenticator" sur votre smartphone ou tablette. Vous retrouverez l'ensemble des liens et des informations relatives à cette procédure sur le Centre d'Aide Google dédié à cette application.
Etape 3 : Paramétrer votre compte utilisateur. Maintenant que l'application est installée, vous allez pouvoir paramétrer votre profil utilisateur. Ouvrez "Utilisateurs → Gestions des utilisateurs". Ouvrez ensuite votre profil. Un nouvel onglet est apparu : "Authentification en deux étapes". Ouvrez cet onglet.
Choisissez "Google Authenticator" comme méthode d'identification
Scannez le QR Code avec l'application téléchargée à l'étape précédente.
Saisissez le code obtenu dans le champ "Code de sécurité".
Cliquez sur "Enregistrer & Fermer".
Déconnectez-vous alors du panneau d'administration. Le nouveau module de connexion apparaît bien avec le champ supplémentaire "Clé secrète". Entrez votre identifiant, votre mot de passe, puis dans le champ "Clé secrète", indiquez le code que génère l'application téléchargé sur votre smartphone ou votre tablette. Ce code fournit par Google Authenticator n'est valide que pendant 30 secondes et n'est disponible que sur votre appareil mobile.